從windows nt引入「域(domain)」概念之後,到windows 2000將域改名為active directory,直到現在的windows server 2012 r2,microsoft仍然在使用active directory這一名詞。現在許多單位已經習慣了使用active directory管理單位網路。在此將在使用active directory的一些問題整理出來,供大家分享。
1 計算機改名並加入到域的問題
在作業系統安裝的時候,會自動建立乙個計算機名稱,例如a-d8636as237766之類,而在加入到域之前,大家習慣於將計算機名稱改為自己的名稱,或者符合單位命名規則名稱。現在用的工作站作業系統主要有windows xp、windows 7及windows 8.1,對於這些不同的計算機,是否支援在改名並同時加入域,是有要求的。
(1)對於windows xp作業系統來說,如果需要改名加入active directory,請在修改計算機名稱之後,重新啟動作業系統,等再次進入系統後,再次加入到active directory,之後再次重啟計算機。這樣需要重新啟動兩次才能完成。如果改名的同時加入active directory,有可能出現錯誤,如圖1所示。
【說明】如果windows xp作業系統計算機,更改的名稱在active directory中不存在(沒有在域中使用過),則可以在加入到域的時候同時改名,但如果改的名稱以前使用過,則會出錯。
(2)對於windows vista及其之後的系統來說,可以在加入到active directory的同時改名,不會出現錯誤,並且該計算機會以改名後的名稱使用。
圖1 使用舊名稱加入到域
2 ghost的系統需要重新生成sid
如果windows xp是ghost的,則需要執行sysprep或者使用newsid重新生成sid,才能加入到域。在使用newsid生成新的sid的同時,可以修改計算機名稱,如圖2所示。
圖2使用newsid更改計算機名稱
如果是windows 7及其以後的系統,已經內建了sysprep程式,執行sysprep /generalize即可重新生成sid(如圖3所示),之後改名加入到域即可。
圖3 重新生成sid
3普通使用者將計算機加入到域的數量上限是10
另外,在將計算機加入到域的時候,如果你「委派」了乙個普通的域使用者,授予這個使用者具有「將計算機加入到域」的許可權,則這個普通的域使用者,預設只能將10臺具有不同的計算機加入到域,當超過10台時,將會彈出「您的計算機無法加入到域,已超出此域所允許建立的計算機帳戶的最大值」,如圖4所示。
圖4對於這個問題,可能在active directory域控制器上,使用adsiedit.msc工具修改。
(1)在域控制器中,以域管理員帳戶,開啟「執行」,鍵入adsiedit.msc,如圖5所示。
圖5支援adsiedit.msc
(2)開啟「adsi編輯器」後,右擊「adsi編輯器」,選擇「連線到」,在彈出的對話方塊中使用預設設定然後單擊「確定」按鈕,如圖6所示。
圖6連線到預設域
(3)在連線到本地域控制器後,右擊網域名稱,在彈出的快捷選單中選擇「屬性」,如圖7所示。
圖7屬性
(4)開啟域屬性之後,找到ms-ds-machineaccountquota,可以看到,其預設值為10,這表示普通域使用者將計算機加入到域的上限數是10,如圖8所示。
圖10加入到域上限數目限制
這在一般情況下已經足夠了。如果你需要禁止普通的域使用者(非域管理員帳戶)將計算機加入到域,可以將預設值10改為0,這樣普通的域使用者就沒有許可權將計算機加入到域了。如果你感覺到10這個數目不夠,可以將這個數值改大,其上限是多少在microsoft官方資料沒有查到,但你修改到65535應該足夠用了,如圖11所示。
圖11修改上限
(5)修改之後,單擊「確定」按鈕,完成修改,如圖12所示。
圖12完成修改
C 獲取AD域中計算機和使用者的資訊
如果你的計算機加入了某個ad域,則可以獲取該域中所有的計算機和使用者的資訊。所用程式集,需要.net framework 4。新增程式集引用 system.directoryservices.accountmanagement 獲取ad網域名稱稱,未加入ad域的,只能獲取計算機名稱。如果未加入任何域...
自動移動域中計算機到目標OU的指令碼
當我們工作中不斷的有計算機加入域時,想讓這些計算機自動的移動到目標ou並應用相應策略可以用下面方法 import module activedirectory get adcomputer filter move adobject targetpath ou 公司領導,ou 總公司,ou 公司計算機...
如何查詢並刪除AD域中多餘的計算機帳號?
如何將過期的計算機從computers容器中自動清除?因為有很多時候沒有按正常的方法退域,導致在ad的computers容器中存在很多過時的計算機,有沒有辦法讓它自動清除呢 對我們廣大網路管理員來說,使用者帳號和計算機帳號的管理是我們最長見也是最難管理一項工作。我們知道頻繁的系統重灌和加入域的過程會...